Я хочу сделать толстый клиент, настольный компьютер, клиент с открытым исходным кодом для Twitter. Я использую .NET в качестве языка и Twitterizer в качестве оболочки OAuth / Twitter, и мое приложение, скорее всего, будет выпущено с открытым исходным кодом.
Чтобы получить токен OAuth, требуется четыре элемента информации:
- Токен доступа (имя пользователя Twitter)
- Секрет доступа (пароль твиттера)
- Ключ потребителя
- Потребительский секрет
Вторые две части информации не должны передаваться, как частный ключ PGP. Однако из-за того, как спроектирован поток авторизации OAuth, они должны быть в собственном приложении. Даже если приложение не было открытым исходным кодом, а ключ / секрет потребителя были зашифрованы, достаточно опытный пользователь мог получить доступ к паре ключ / секрет потребителя.
Итак, мой вопрос, как мне обойти эту проблему? Какова правильная стратегия для настольного клиента Twitter, чтобы защитить его ключ и секрет потребителя?